Дело 01-0001_2017. Приговор. документ - обезличенная копия

-показаниями свидетеля *., данными им в ходе судебного заседания, а также на предварительном следствии, о том, что работает в должности начальника отдела привлечения корпоративных клиентов ОАО АКБ «АВАНГАРД» он работает. *г., примерно в 10:45 час., ему на рабочий, стационарный телефон поступил звонок незнакомого мужчины, представившим потенциальным клиентом банка, без указания фамилии и имени, который интересовался о размещении в банке депозита в размере 32 000 000 рублей и представления необходимого пакета документов для данной цели. На указанный адрес электронной почты *, продиктованный клиентом он сразу же направил со своей рабочей электронной почты: *письмо, в котором указал перечень документов, необходимых для идентификации клиентов. Примерно минут через 40, на рабочую почту его поступило письмо вместе с архивированным файлом и паролем к нему. Прочитав вышеуказанное письмо, он попытался на своем рабочем компьютере самостоятельно произвести разархивацию прикрепленного файла, распаковав архив, он обнаружил в нем только один файл и при его открытии только реквизиты какой-то транспортной компании. Он написал повторное электронное письмо данному клиенту и направил в адрес указанного лица в 11: 31. В 12:03 *г. ему вновь пришло письмо. Ознакомившись с вышеуказанным сообщением, в тот же день, он обратился к сотрудникам отдела администрирования и технической поддержки банка с просьбой помочь распаковать пришедший от клиента архивный файл. Файл был отправлен дежурному специалисту по внутренней почте сотрудников банка. От них он получил ответ о том, что в архиве содержаться только один файл с реквизитами. *г. в 14:51 час. он на электронную почту вышеуказанного клиента написал сообщение. Примерно минуты через две, он получил ответ на свое сообщение. Больше, в тот день, от указанного лица ему электронных сообщений на почту не поступило. Звонков, как на рабочий, так и на мобильный телефон не было. На следующий день, *г., в 11:22 час. он написал сообщение. Минуты через две после отправки вышеуказанного сообщения он получил ответ.

-показаниями свидетеля *в ходе судебного заседания, и на предварительном следствии, о том, что он работает в ОАО АКБ «АВАНГАРД» в должности заместителя начальника Управления клиентских отношений с *года. В ведении Управления клиентских отношений Банка находится несколько отделов, в том числе, отдел привлечения корпоративных клиентов. Руководителем отдела привлечения корпоративных клиентов является *, в обязанности которого, в том числе, входит привлечение клиентов в Банк (юридических лиц). *4 года на внутренний телефон *поступил телефонный звонок от клиента, которые интересовался депозитом. *. обсудил с клиентом параметры депозита, срок, сумму, ставку, и попросил клиента прислать по электронной почте в Банк соответствующий пакет документов для открытия депозита для предварительной проверки. Мужчина продиктовал * свой адрес электронной почты. Далее, в этот же день на почту **. пришло электронное письмо, в котором был один архивированный файл. *открыв на своем компьютере данный файл, увидел, что в нем содержался всего лишь один документ с реквизитами компании, поэтому он отправил этот файл на электронную почту технической службы поддержки банка с просьбой открыть высланный неизвестным клиентом архивированный файл у них. Коллеги из службы поддержки, открыв данный файл увидели так же документ с реквизитами. После этого, в течение нескольких дней, *пытался связаться с данным неизвестным мужчиной. Ответа от клиента не последовало.

- показаниями свидетеля *, данными ею в ходе судебного заседания, а также на предварительном следствии, из которых следует, что она работает в ОАО АКБ «АВАНГАРД» в должности начальника Управления платежных карт с * года. *года от Председателя Правления ОАО АКБ «АВАНГАРД» *ей стало известно о крупной недостачи денежных средств при инкассации из банкоматов банка в г.Орле. По просьбе *она приехала на работу для проверки банкоматов, установленных в г. Москве и Московской области. Она заказала сотрудникам Управления наличного денежного обращения Банка инкассацию банкоматов, установленных в г.Москве и Московской области. *года после инкассации и проверки было выявлено, что в 43 банкоматах, установленных в 11 регионах России, в том числе, на территории г. Москвы, имеется недостача денежных средств на общую сумму около 60 000 000 рублей.

-показаниями свидетеля * данными им в ходе судебного заседания, и на предварительном следствии о том, что с *года он работает в ОАО АКБ «АВАНГАРД» в должности ведущего специалиста группы информационный безопасности отдела администрирования и технической поддержки Управления сопровождения инфраструктуры информационных технологий. В его обязанности входит техническая поддержка всей компьютерной сети банка, анализ возникающих проблем. Его непосредственным руководителем является начальник группы *, заместитель начальника отдела Кравцов Д.А., также заместитель начальника Управления сопровождения инфраструктуры информационных технологий банка *Он является администратором большей части серверов Банка, имеет полный доступ к этим серверам с самыми широкими правами, и является доменным администратором сети Банка, поэтому имеет полный доступ ко всем серверам под управлением операционной системы Windows. Также он имеет полный доступ к нескольким серверам Банка, работающим под управлением операционной системы Unix. Он не администрирует эти серверы, только по просьбе коллег иногда им помогает. Администраторами серверов Банка под управлением операционной системы Unix являются *, а также Тамбовцев В.В. - начальник отдела телекоммуникаций управления. Также доступ к серверам под управлением Unix имел служебный пользователь с именем «2002», которым пользовались специалисты технической поддержки. Такой служебный пользователь с одинаковым именем и одинаковым паролем был для обеих операционных систем. Доступ к этим служебным пользователям «2002» имеют все сотрудники отдела, пароль на него не менялся. Селезнев в операционной системе Unix не работал, поэтому мог не знать, что имеется такой служебный пользователь для этой операционной системы. Тамбовцев В.В. мог знать о существовании служебных пользователей с именем «2002», т.к. он является администратором серверов и мог посмотреть список пользователей, которые допущены к управлению каким-либо сервером. Знал ли Тамбовцев В.В. пароль от этих служебных пользователей, ему не известно. Тамбовцев являлся администратором серверов GHIA и WEBCAM, имел к ним полный доступ с максимально возможными правами. Сервер GHIA работает под управлением операционной системы Unix, а WEBCAM под управлением Windows. Сервер GHIA ранее являлся прокси-сервером, а в настоящее время является центральным сервером для раскладывания конфигурационных файлов для других прокси-серверов. Сервер WEBCAM является точкой входа всех региональных пользователей в системе Банка, а также контролирует звук с микрофонов, установленных в офисах Банка. На сервер GHIA помимо него имеют полный доступ *, Тамбовцев, также сотрудники отдела телекоммуникаций, однако, с какими правами – ему не известно. Кто еще из отдела имеет к серверу полный доступ, не известно. Его логин для доступа к серверу GHIA отличается от его логина для доступа в сеть, пароли также разные. Этот логин мог знать только *, т.к. он регистрировал его на сервере. Пароль, кроме него, не знал никто. Его логин для доступа на указанный сервер – oac2002. Администратором сервера GHIA он не являлся, т.к. не обладает достаточными знаниями операционной системы Unix, необходимыми для администрирования серверов под управлением указанной операционной системы. На сервер WEBCAM, помимо него, имеют полный доступ все сотрудники отдела, в том числе все сотрудники группы технической поддержки под своими логинами, а также технологический пользователь с логином «2002» под управлением операционной системы Windows. Все сотрудники отдела, в том числе и он под своими логинами имеют возможность удаленно подключаться к компьютерам других пользователей в Банке с правами администратора, а также с логином «2002», также возможность зайти на компьютеры других пользователей с правами администратора имеют сотрудники группы компьютерного оборудования (4 человека), а также часть сотрудников отдела телекоммуникаций, в том числе, Тамбовцев В.В. На его компьютер с правами администратора под своими логинами могут зайти все указанные лица. До * года случаев подключения удаленно к его компьютеру не было без его согласия. *года он утром пришел на работу и обнаружил вход на свой компьютер под другим пользователем -rootkid, которым пользуется *. А у *на компьютере имя пользователя, который последним заходил на его компьютер – alex, этим логином пользуется он. Ни он на компьютер *не заходил, ни *на его компьютер. Он зашел в компьютер под своим именем – alex, но сразу проблему не обнаружил, т.к. занимался другими срочными задачами, при этом, он сменил свой пароль. Он поверхностно просмотрел журнал подключений к его компьютеру, и обнаружил, что логин rootkid имеется в этом списке, других посторонних логинов не увидел. Он не проверял, когда и откуда подключался логин rootkid к его компьютеру, какие типы подключений были. На следующий день он пришел на работу, зашел на свой компьютер и увидел, что значки на рабочем столе компьютера поменяли свое месторасположение. Он подумал, что в его компьютере имеется какой-то вирус и стал более подробно проверять компьютер. В течение дня нашел подозрительный процесс, запущенный от его имени с названием lsas, это стандартный процесс Windows, однако на его компьютере их было почему-то запущено два. Он стал разбираться более подробно и обнаружил, что к его компьютеру были удаленные подключения. *года в 01 час 36 минут было удаленное подключение под именем *, этим логином пользуется *, сотрудник группы технической поддержки отдела. Затем *года в 02 часа 44 минуты было удаленное подключение под именем rootkid. *года в 10 часа 15 минуты было удаленное подключение также под именем rootkid. *года в 01 час 01 минут пользователь rootkid покинул сессию на его компьютере, до этого его компьютер был заблокирован под этим именем. *ничего не говорил о том, что на его компьютер кто-то удаленно подключался. Всю эту хронологию он обнаружил после *года, в ходе проверки. *года он сообщил всем сотрудникам отдела, что нашел подозрительный процесс на своем компьютере. Это слышали все в отделе, т.к. он говорил громко и просил всех проверить свои компьютеры, в том числе и дежурного технической поддержки, в тот день работал *Такой же процесс *обнаружил на своем компьютере, у остальных таких процессов не обнаружилось, в том числе и на компьютере дежурных технической поддержки. *года он сначала удалил этот процесс из автозагрузки Windows, а затем смог удалить этот процесс окончательно, *также удалил этот процесс. *года его вызвал *и сказал, что к компьютеру *– заместителя начальника программистов последний авторизованный логин был rootkid. Он рассказал *о проблемах, которые возникли на компьютерах в отделе. *, Войтеховский и Тамбовцев пришли в их кабинет, и все вместе пытались разобраться в проблеме. *ругался на *за то, что тот сразу не сообщил об этой проблеме. В дальнейшем в процессе работы никаких проблем с компьютером у него не возникало. Войтеховский предложил всем сотрудникам отдела выключить компьютеры на выходные, *с этим согласился. Все это обсуждали в отделе и согласились с таким решением, хотя обычно компьютеры не выключали. *года он выключил компьютер перед уходом с работы. На работу он пришел после праздничных дней *года и включил компьютер, никаких проблем не возникло. До *года у него имелся удаленный доступ к своему компьютеру и к серверам, к которым у него имелся доступ через виртуальную частную сеть (vpn), этот доступ ему настраивал Тамбовцев. Он мог с любого компьютера, имеющего подключение к Интернету, удаленно подключить к своему рабочему компьютеру и серверам. При этом у него имелся еще один отдельный логин с отдельным паролем для доступа в виртуальную частную сеть, также для подключения необходимо было знать настройки самой сети. *г. днем ему позвонил *и сообщил, что у них проблема с банкоматами и попросил приехать на работу. Приехав на работу, по просьбе *он просмотрел видео с камеры центрального офиса Банка в г.Орле вместе с Войтеховским. На видео нашли отрезок с изображением мужчины, который постоянно говорил по телефону и делал вид, что вставляет карту и набирает ПИН-код, однако на видеозаписи было видно, что карту он не вставлял и клавиатуры не касался. Через некоторое время банкомат стал выдавать деньги, мужчина их забирал и раскладывал в карманы своей одежды. Деньги он брал из лотка банкомата не менее семи или восьми раз. Все это заняло у мужчины примерно 20 минут, после чего он ушел от банкомата. *собрал его, Тамбовцева и *и сказал, что из банкоматов Банка на всей территории России происходит насанкционированная выдача денежных средств. Тамбовцев на сервере GHIA обнаружил несанкционированное подключение к этому серверу, и сообщил, что указанный сервер предоставляет удаленному пользователю доступ ко всем банкоматам Банка на территории России. Тамбовцев отключил сервер GHIA от общей сети Банка и нашел ключи авторизации на сервере, для чего они служат, он не знает и попросил его проверить другие серверы, на которые он имеет доступ, на наличие таких же ключей, часть серверов проверял сам Тамбовцев. Он при проверке никаких подозрительных ключей на других серверах не обнаружил, обнаружил ли еще какие-либо подозрительные ключи Тамбовцев, он не помнит. Тамбовцев обнаружил IP-адрес, с которого был получен доступ к серверу и дальше к банкоматам Банка – **. Этот IP-адрес он не проверял, но, насколько помнит, он принадлежит какому-то частному хостингу в Германии. *года он продолжал заниматься сбором информации по банкоматам, Тамбовцев занимался отбором и блокированием подозрительного трафика. Он принимал участие в служебной проверке, в ходе которой было установлено, что *года из клиентского отдела Банка в службу технической поддержки на адрес пользователя 2002 специалистом *был прислан заархивированный, запароленный файл с просьбой его открыть. Дежурный сотрудник отдела *открыл этот файл и отправил обратно, при этом был заражен вредоносной программой компьютер дежурных, название – sv.exe. *отправил открытый документ в формате Word обратно *. При этом антивирусная программа никак не отреагировала на эту программу. В банке установлена антивирусная программа Nod32, которая обновляется. Злоумышленники просканировали сеть, чтобы узнать, какие пользователи и с каким правами на какие сервера банка могут заходить, затем узнали пароли *, его, а также пользователя «2002». После этого они получили с его логином, логином *и логином «2002» полный доступ к сети Банка, ко всем серверам. К серверу GHIA была сначала неудачная попытка подключиться под его логином, а затем удачная под логином «2002» с компьютера дежурных технической поддержки. *года на сервер GHIA было загружено модифицированное вредоносное программное обеспечение, после чего злоумышленники получали прямой доступ к серверам Банка под управлением операционной системы Unix, не используя рабочие компьютеры пользователей банковской сети. Получив доступ к серверу GHIA, пользователь получает доступ к другим серверам банка под управлением Unix без ввода паролей к ним. Пароль к серверу GHIA у каждого пользователя, имеющего к нему доступ, был свой. Он иногда менял свой пароль, но не часто, пароль служебного пользователя «2002» для доступа к серверу GHIA не менялся. Пароли пользователя «2002» под управлением Unix и пользователя «2002» под управлением Windows идентичны друг другу. Пароли для сервера GHIA и для пользователей «2002» устанавливал либо он, либо *, точно не помнит. Получив доступ к серверам Банка, злоумышленники создали зашифрованный канал связи со своим удаленным сервером, который оборудованием банка не определялся. Злоумышленники получили доступ со своего сервера транзитом через сервер банка GHIA к любому банкомату банка. При этом не требовалось задействовать другие сервера или отдельные компьютеры банка. Затем злоумышленники взломали тестовую служебную программу (KDiag), используемую для тестирования банкоматов. Эта программа установлена не на каждом банкомате, она устанавливается при необходимости тестирования банкомата, удаляется ли она с банкомата после использования, он не знает. В оригинале эта программа не работает, если сейф банкомата закрыт. В модифицированном виде эта программа позволяла злоумышленникам при закрытом сейфе банкомата давать команду на опустошение кассет с купюрами. При этом банковской карты для этого не требуется;

-показаниями свидетеля *, данные им в ходе судебного заседания, и на предварительном следствии, из которых следует, что он работает в ОАО АКБ «АВАНГАРД» в должности главного специалиста отдела управления информационными технологиями. В его должностные обязанности входило администрирование серверной инфраструктуры Windows серверов, Unix серверов. Ghia – это Unix сервер, Webcam – это Windows сервер. К серверу Webcam был доступ у всего отдела администрирования, также у отдела техподдержки. К серверу Ghia доступ был у нескольких человек – администраторов, в том числе у него, *, Тамбовцева, *. *года утром, придя на работу, увидел на своем компьютере имя пользователя, который последним заходил на компьютер – alex, которым пользуется *и подключение было удаленное с сервера WEBCAM под именем *М.М. *года в 2 часа 42 минуты. Также он увидел, что к его компьютеру было удаленное подключение пользователя под именем **года в 2 часа 35 минут. Этот заход также был с сервера WEBCAM, с какого именно компьютера - не отобразился. С какого именно компьютера к серверу WEBCAM подключались *и *, в истории не отобразилось. Что именно делали *и *на его компьютере в истории не отобразилось. *года днем он не видел, что к его компьютеру ночью подключались *и *, т.к. чтобы это увидеть нужно специально смотреть лог-файлы. Пользователи под именем * и *могли удалить лог-файлы на его компьютере после того, как заходили на него, тогда информации об этих заходах не осталось бы, но лог-файлы удалены не были. Под именем *на его компьютер было три захода *года, один раз *года, затем были удаленные заходы от его имени, однако он сам не заходил на свой рабочий компьютер во время праздничных дней, хотя у него имеется возможность удаленного доступа с любого компьютера, имеющего доступ к Интернету. *прийдя на работу сообщил , что на его компьютер под своим именем не заходил и сообщил, что имя пользователя, который последним заходил на его компьютер –был *. О данной ситуации он и Овчинников никому из вышестоящего руководства не сообщали, не придав этому серьезного значения. Однако, свои компьютеры и компьютер дежурного проверили на вирус. На его компьютере никаких проблем обнаружено не было, на компьютерах *был запущен какой-то подозрительный процесс, который они вручную удалили. м также сообщил, что не заходил удаленно на его компьютер. Он на своем компьютере в профиле Смирнова в папке «Мои документы» обнаружил файл с названием «443-90.exe», он не был запущен. Он проверил его антивирусом, который ничего подозрительного не нашел, скопировал этот файл в свой профиль на всякий случай, чтобы впоследствии с ним разобраться более детально. Он увидел, что на его компьютере запущен процесс ammyyadmin и остановил его. Этот процесс подозрений не вызвал, он сам ранее устанавливал его на свой компьютер, возможно, что и запускал его самостоятельно. Этот процесс не является стандартным процессом Windows, он устанавливал его отдельно, при включении компьютера он автоматически не запускается на его компьютере. Процесс служит для удаленного подключения к компьютеру. Он не придал этому особого значения, включен этот процесс на его компьютере был *года в 2 часа 52 минуты, когда на него заходили под именем Смирнова. Этот процесс не был подозрительным, он допускал, что сам его запускал и возможно забыл выключить. О том, что он обнаружил и выключил этот процесс на своем компьютере, он никому не говорил, в том числе, и Кравцову с *. Про найденный файл «443-90.exe» он сообщил *, которые никак не отреагировали на это, у них на компьютерах такого файла не было найдено. После этого свой пароль он не менял. В дальнейшем в процессе работы никаких проблем с компьютером у него не возникало. *года *сообщил ему, что похожие проблемы возникли у других пользователей в банке, кто-то удаленно заходил на их компьютеры от его имени и попросил всех сотрудников отдела выключить компьютеры на выходные. *года он выключил компьютер перед уходом с работы. На работу он пришел после праздничных дней *года и включил компьютер, никаких проблем не возникло. *года утром придя на работу он увидел, что его компьютер выключен, сетевой шнур к нему подключен не был. В течение дня из разговоров с коллегами ему стало понятно, что компьютеры Банка были взломаны и кто-то похитил деньги из банкоматов Банка. Способ хищения и сумму денег ему никто в тот день не говорил. Он понял, что его компьютер был частью схемы при хищении денег из банкоматов. Впоследствии он принимал участие в служебной проверке, в ходе которой и узнал подробности произошедшего, а именно, что *года из клиентского отдела Банка в службу технической поддержки был направлен заархивированный запароленный файл с просьбой его открыть. Дежурный сотрудник отдела открыл этот файл и отправил обратно, который был заражен вредоносной программой компьютер дежурных. При этом антивирусная программа никак не отреагировала на эту программу. В банке установлена антивирусная программа Nod32. Злоумышленники узнали пароли *, возможно, *. Затем они получили доступ к нескольким серверам под управлением Unix, в том числе к серверу GHIA, и получили возможность выхода в сеть Интернет. Введя пароль от сервера GHIA, пользователь получает доступ к другим серверам Банка под управлением Unix без ввода паролей к ним. Пароль к серверу GHIA у каждого пользователя, имеющего к нему доступ, был свой. Пароли к этому серверу не менялись с момента начала его работы, в том числе и пароль технологического пользователя «2002». Пароли пользователя «2002» под управлением Unix и пользователя «2002» под управлением Windows идентичны друг другу. Пароли для сервера GHIA и для пользователей «2002» устанавливал не он, а другие сотрудники, которые ранее работали в Банке. Получив доступ к серверам банка, злоумышленники создали зашифрованный канал связи со своими удаленными серверами, который оборудованием банка не определялся. Злоумышленники получили доступ со своего сервера транзитом через сервер банка GHIA к любому банкомату банка. При этом не требовалось задействовать другие сервера или отдельные компьютеры банка. Так как сервер GHIA работает под управлением Unix, а банкоматы Банка под управлением Windows, то сервер злоумышленников, скорее всего, работал под управлением Windows, т.к. программное обеспечение сервера GHIA не позволяет управлять банкоматами именно с него. Затем злоумышленники взломали служебную программу (KDiag), имеющуюся на каждом банкомате и установленную производителем, которая проводит диагностику, и получили возможность давать команду банкомату на выдачу купюр из другой кассеты (по запросу денежной суммы на выдачу в размере 100 рублей, банкомат выдавал купюру достоинством 5000 рублей), а затем получили возможность давать команду банкомату на опустошение кассеты с купюрами при закрытой двери сейфа банкомата, что при нормальной работе данной программы невозможно, при этом банковской карты не требуется;

- показаниями свидетеля *данными им в ходе судебного заседания, а также на предварительном следствии, о том, что он является начальником Управления разработки программного обеспечения ОАО АКБ «АВАНГАРД». *г. по просьбе председателя Правления Банка *он приехал на работу. *пояснил, что в ночь с *г. неизвестные лица в г. Орле осуществили несанкционированный доступ к банкоматам Банка и похитили денежные средства Банка. Ему было поручено разобраться в данной ситуации. В результате проведенного внутреннего расследования было установлено, что злоумышленники, получив доступ к локальной (внутренней) сети Банка осуществляли управление банкоматами с помощью вредоносного программного обеспечения, что привело к нештатной работе банкоматов. Почти на каждом банкомате, который использовался злоумышленниками в преступной схеме, были обнаружены две программы, которые не входят в стандартное программное обеспечение, установленное на банкомате. После изменения параметров банкомата, злоумышленник, фактически находившийся у банкомата, вставлял карту в приемное устройство банкомата, вводил пин-код, запрашивал выдачу наличных в размере 100 руб. Далее осуществлялся запрос в банк, выдавший карту для определения возможности выдачи указанной суммы, при получении положительного ответа банкомат выдавал деньги. Так как параметры банкомата были изменены злоумышленниками, то вместо одной купюры достоинством 100 руб. выдавалась одна купюра достоинством 5000 рублей. Так же злоумышленники закачали программу, которая позволила проводить выдачу купюр из кассет и при закрытой двери сейфа банкомата. Злоумышленники, закачав на банкомат указанную утилиту, и управляя им с помощью программы из внутренней сети банка, осуществляли выдачу денежных средств в обход штатной процедуры работы банкомата. Просмотр видеозаписи с камер наружного наблюдения, установленных недалеко от банкоматов, позволил утверждать, что злоумышленник, физически находившийся у банкомата и получающий деньги лишь имитировал действия с картой и нажатие клавиш на клавиатуре банкомата, создавая впечатление добросовестного клиента. В действительности лицо, имевшее удаленный доступ к банкомату, на экране своего компьютера, в режиме он-лайн, имело отображение экрана нужного ему банкомата и возможность удаленного управления этим банкоматом. Кроме того, 19 мая 2014 года в первой половине дня он решил исследовать, на какие ip-адреса устанавливались вредоносные соединения и попросил Тамбовцева В.В., возглавлявшего отдел телекоммуникаций банка, в его присутствии просмотреть лог-файлы сетевого оборудования. Среди прочих соединений было обнаружено одно соединение на ip-адрес *. Тамбовцев В.В. сообщил, что этот адрес ему знаком. Так как на том этапе работы интересовали соединения только на неизвестные адреса, разбираться с этим адресом он не стал, и они продолжили анализ логов. *года в первой половине дня он, *, являющийся заместителем начальника управления сопровождения инфраструктуры информационных технологий банка, и Тамбовцев В.В. в очередной раз просматривали лог-файлы cоединений по протоколу, искали соединения с существенным трафиком на неизвестные внешние ip-адреса. Среди прочих заметили соединения на ip-адрес *и *. Тамбовцев В.В. сказал, что знает адрес varyan.ru. Так как количество сессий и объем трафика на указанные адреса было минимальным, а в тот момент интересовали в первую очередь соединения с существенным трафиком, не стали проводить тогда их более детальное изучение. Позднее, *года вечером или *года утром, он в присутствии Тамбовцева В.В. упомянул про соединение на varyan.ru, т.к. оно осталось необъясненным, и сказал, что с ним надо будет еще разобраться. *года со слов Тамбовцева В.В. ему стало известно, что varyan.ru - это сайт его начальника на предыдущей работе и объяснить факт данного соединения с его компьютера в 06:35:10 *г. он не может. Обязанности сотрудников Банка по администрированию серверов Банка распределяются в зависимости от функционального назначения серверов и функций того или иного сотрудника в соответствии с его должностной инструкцией. Сервер GHIA изначально выполнял роль прокси-сервера, контролирующего доступ в интернет сотрудников банка. Исходя из этого, он попадал в зону ответственности группы информационной безопасности и его администратором был *Однако, впоследствии функционал сервера GHIA изменился и в последнее время он в первую очередь обеспечивал авторизацию доступа к коммуникационному оборудованию. Таким образом, он перешел в зону ответственности отдела телекоммуникаций, и администрировать его должен был Тамбовцев В.В.;